Varem tuvastamata küberohutegija juhib nende tähelepanu USA lennundustööstusele, juurutades äsja avastatud PowerShellil põhineva pahavara nimega PowerDrop . See täiustatud pahavara kasutab tuvastamise vältimiseks mitmesuguseid petlikke taktikaid, kodeerimistehnikaid ja krüptimist. Nimi "PowerDrop" tuleneb selle sõltuvusest Windows PowerShelli tööriistast ja DROP-stringist (DRP), mis on lisatud selle polsterdamise koodi.
PowerDrop on kasutusjärgne tööriist, mis on loodud tundliku teabe kogumiseks ohustatud võrkudest pärast alternatiivsete meetodite kaudu volitamata juurdepääsu saamist. Command-and-Control (C2) serveriga suhtlemise korraldamiseks kasutab pahavara majakatena Internet Control Message Protocol (ICMP) kajapäringu sõnumeid. Seejärel vastab C2-server krüptitud käskudega, mis dekodeeritakse ja käivitatakse ohustatud hostis. Samamoodi on ICMP pingisõnumi eesmärk nende juhiste tulemuste väljafiltreerimine.
Eelkõige kasutab PowerDrop PowerShelli käskude täitmiseks Windowsi haldusinstrumentide (WMI) teenust, näidates, kuidas ohus osaleja kasutab tuvastamisest kõrvalehoidmiseks "välismaal elamise" tehnikaid. Kuigi pahavara põhiolemus ei pruugi olla erakordselt keerukas, viitab selle võime kahtlasi tegevusi hägustada ja lõpp-punkti kaitsest kõrvale hiilida arenenumate ohustajate kaasamisele.
Sisukord
Varjatud pahavara rünnaku taktika avalikustamine
Hiljuti avastatud pahavara tõid turvateadlased päevavalgele täiustatud masinõppe tuvastussüsteemi abil – võimsa tehnoloogiaga, mis kontrollib PowerShelli skriptide täitmise sisu, võimaldades tuvastada selle tabamatu ohu. Kuid hoolimata sellest läbimurdest on täpne nakkusahel ja PowerDropi esialgne kompromiss endiselt saladuses.
Analüütikud spekuleerivad potentsiaalsete meetodite üle, mida ründajad PowerDropi skripti juurutamiseks kasutavad. Nende hulka kuuluvad turvaaukude ärakasutamine, andmepüügimeilide kasutamine ohvrite sihtimiseks või isegi võltsitud tarkvara allalaadimissaitide petlik taktika. Täpne tee, mille kaudu PowerDrop süsteemidesse tungis, pole veel kindlaks määratud. Selle varjatud olemuse täiustamiseks on skript kodeeritud Base64 abil, mis võimaldab tal töötada tagauksena või kaugjuurdepääsu troojana (RAT) . See keerukas tehnika võimaldab PowerDropil tuvastamisest kõrvale hiilida ja säilitada püsivust ohustatud süsteemides.
Süsteemi logidesse süvenemine avab olulise ülevaate PowerDropi tööviisist. Analüüs näitas, et pahatahtlik skript kasutas tõhusalt varem registreeritud WMI sündmuste filtreid ja tarbijaid, millel oli eriline varjunimi "SystemPowerManager". Pahavara ise lõi selle nutikalt maskeeritud mehhanismi, kui ta käsureatööriista wmic.exe kasutades süsteemi ohustas.
PowerDropi ainulaadsete omaduste paljastamine heidab valgust tänapäeva küberohtude keerukusele. Oma võimega avastamisest kõrvale hiilida ja ohustatud süsteemides varjatult tegutseda näitab PowerDrop pahatahtlike osalejate pidevat arengut ja leidlikkust digitaalsel maastikul.
Varem tuvastamata küberohutegija juhib nende tähelepanu USA lennundustööstusele, juurutades äsja avastatud PowerShellil põhineva pahavara nimega PowerDrop. See täiustatud pahavara kasutab tuvastamise vältimiseks mitmesuguseid petlikke taktikaid, kodeerimistehnikaid ja krüptimist. Nimi "PowerDrop" tuleneb selle toetumisest Windows PowerShelli tööriistale ja DROP-stringile, mis on lisatud selle polsterdamise koodi.
PowerDrop on kasutusjärgne tööriist, mis on loodud tundliku teabe kogumiseks ohustatud võrkudest pärast seda, kui on saanud alternatiivsete meetodite abil volitamata juurdepääsu. Command-and-Control (C2) serveriga suhtlemise korraldamiseks kasutab pahavara majakatena Internet Control Message Protocol (ICMP) kajapäringu sõnumeid. Seejärel vastab C2 server krüptitud käskudega, mis dekodeeritakse ja käivitatakse ohustatud hostis. Samamoodi on ICMP pingisõnumi eesmärk nende juhiste tulemuste väljafiltreerimine.
Eelkõige kasutab PowerDrop PowerShelli käskude täitmiseks Windowsi haldusinstrumentide (WMI) teenust, näidates, kuidas ohus osaleja kasutab tuvastamisest kõrvalehoidmiseks "välismaal elamise" tehnikaid. Kuigi pahavara põhiolemus ei pruugi olla erakordselt keerukas, viitab selle võime kahtlasi tegevusi hägustada ja lõpp-punkti kaitsest kõrvale hiilida arenenumate ohustajate kaasamisele.
Varjatud pahavara rünnaku taktika avalikustamine
Hiljuti avastatud pahavara tõid turvateadlased päevavalgele täiustatud masinõppe tuvastussüsteemi abil – võimsa tehnoloogiaga, mis kontrollib PowerShelli skriptide täitmise sisu, võimaldades tuvastada selle tabamatu ohu. Vaatamata sellele läbimurdele jääb PowerDropi täpne nakkusahel ja esialgne kompromiss siiski saladuseks.
Analüütikud spekuleerivad potentsiaalsete meetodite üle, mida ründajad PowerDropi skripti juurutamiseks kasutavad. Nende hulka kuuluvad turvaaukude ärakasutamine, andmepüügimeilide kasutamine ohvrite sihtimiseks või isegi võltsitud tarkvara allalaadimissaitide petlik taktika. Täpne tee, mille kaudu PowerDrop süsteemidesse tungis, pole veel kindlaks määratud. Selle varjatud olemuse parandamiseks on skript kodeeritud Base64 abil, mis võimaldab tal töötada tagauksena või kaugjuurdepääsu troojana (RAT). See keerukas tehnika võimaldab PowerDropil tuvastamisest kõrvale hiilida ja säilitada püsivust ohustatud süsteemides.
Süsteemi logidesse süvenemine avab olulise ülevaate PowerDropi tööviisist. Analüüs näitas, et pahatahtlik skript kasutas tõhusalt varem registreeritud WMI sündmuste filtreid ja tarbijaid, millel oli eriline varjunimi "SystemPowerManager". Pahavara ise lõi selle nutikalt maskeeritud mehhanismi, kui ta käsureatööriista wmic.exe kasutades süsteemi ohustas.
PowerDropi ainulaadsete omaduste paljastamine heidab valgust tänapäeva küberohtude keerukusele. Oma võimega avastamisest kõrvale hiilida ja ohustatud süsteemides varjatult tegutseda näitab PowerDrop pahatahtlike osalejate pidevat arengut ja leidlikkust digitaalsel maastikul.
USA lennundustööstust rünnatakse: uue PowerDropi pahavara kasutuselevõtt ekraanipilti
